Ograniczenie shadow IT to odwieczny problem dla zespołów IT – oto cztery kroki, które pomogą liderom wyeliminować shadow IT.
Shadow IT – nieautoryzowane systemy lub aplikacje, z których korzystają pracownicy bez zgody IT – od dawna stanowi zmartwienie dla pracowników IT. Teraz, z AI, chmurą i rozprzestrzenianiem się SaaS, ryzyko shadow IT rośnie szybko. Jeśli CIO nie znajdą podejścia opartego na danych, aby poprawić widoczność, shadow IT będzie nadal wpływać na zyski firmy i produktywność pracowników.
Raport Kong’s 2024 API Impact Report przedstawia znajomy, ale niepokojący obraz wzrostu shadow IT: 80% organizacji ustaliło wytyczne dotyczące korzystania z technologii i zarządzania, jednak 60% pracowników nadal je omija. 
„Zespoły i jednostki mają tendencję do przyjmowania nowych narzędzi po cichu, zwłaszcza wraz z rozwojem ruchów oddolnych, takich jak generatywna AI,” mówi Jeff Watkins, CTO w CreateFuture. „Rzeczy dzieją się tak szybko, że polityki ledwo nadążają.”
Gdy brakuje nadzoru, złośliwe oprogramowanie i spyware mogą przedostać się przez niezałatane luki związane z niezatwierdzonymi aplikacjami, pozostając w uśpieniu przez lata, zanim przeprowadzą masowy atak. Zapytajcie Okta, która w 2023 roku doświadczyła poważnego naruszenia, ujawniając dane klientów – surowe przypomnienie o chaosie, jaki może wyniknąć z nieautoryzowanego dostępu.
„Wszyscy to widzieliśmy – ktoś uruchamia usługę w chmurze jako 'szybkie rozwiązanie’, a zanim się obejrzysz, atakujący mają drogę do środka,” mówi Watkins. Gdy firmy starają się wdrożyć generatywną AI, otwiera się nowa ścieżka shadow AI na szczycie aplikacji dziedzictwa, z których pracownicy mogą korzystać bez wiedzy IT.
Dlatego zespoły IT muszą stawić czoła shadow IT i wyeliminować je, zanim wymknie się spod kontroli, a poniżej znajdują się cztery praktyczne strategie, aby to osiągnąć i całkowicie wyeliminować shadow usage.
1. Automatyzuj odkrywanie SaaS, aby zidentyfikować nieautoryzowane aplikacje
Dostosowanie inwentarza aplikacji wymaga ciągłej widoczności wszystkich aplikacji SaaS krążących w organizacji. Automatyczne odkrywanie za pomocą mieszanki rozszerzeń przeglądarki, łączników API i odkrywania opartego na regułach w zarządzaniu siecią może pomóc w porównaniu użycia aplikacji z już wypełnionym profilem aplikacji.
Po zebraniu tych danych, zsynchronizuj je z raportami z systemu jednokrotnego logowania (SSO) organizacji, aby uzyskać zintegrowany, 360-stopniowy widok nieużywanych licencji i zduplikowanych aplikacji.
To trochę ironiczne – używanie większej liczby aplikacji do kontrolowania rozprzestrzeniania się shadow apps. Ale z napiętymi budżetami i ryzykiem, że dostęp administracyjny do tych narzędzi może stworzyć własne luki w zabezpieczeniach, Watkins zaleca zrównoważenie tego corocznymi audytami, podczas których IT spotyka się z liderami działów, aby przejrzeć całe zainstalowane oprogramowanie.
„Każdy obszar powinien przechodzić coroczny audyt, aby zrozumieć, co zostało wdrożone, czy to nowe oprogramowanie, czy narzędzia SaaS stron trzecich, które mogą udostępniać dane, nawet jeśli jest to niezamierzone.”
2. Projektuj procesy IT skoncentrowane na ludziach
Ilia Sotnikov z Netwrix zwraca uwagę, że zespoły IT często mają nadmierne poczucie swoich rozwiązań monitorujących i analitycznych przeciwko shadow IT, jednocześnie całkowicie pomijając większe pytanie: dlaczego rozprzestrzenia się jak pożar? Uważa, że często dzieje się tak, ponieważ pracownicy po prostu starają się wykonać swoją pracę, zwłaszcza gdy czują, że IT nie zapewnia im potrzebnego wsparcia. Aby to naprawić, mówi, musimy spotkać pracowników tam, gdzie są.
„Strategia rozwiązania problemu shadow IT musi być dwutorowa,” mówi Sotnikov. „Musimy zwiększyć świadomość i przyjąć podejście 'IT jako umożliwiające biznes’, gdzie IT może pomóc użytkownikom i działom zobaczyć, jak ryzyka związane z bezpieczeństwem bezpośrednio wpływają na ich role lub procesy biznesowe.”
Aby wdrożyć podejście Sotnikova w praktyce, stwórz środowisko sandbox, w którym pracownicy mogą bezpiecznie testować nowe narzędzia, jednocześnie zapewniając IT wgląd w to, co jest faktycznie używane. Jeśli narzędzie okaże się przydatne, IT może wtedy pracować nad jego oficjalnym zatwierdzeniem.
Watkins również się włącza, sugerując projektowanie samoobsługowych procesów IT z centralnym zarządzaniem dla żądań i zatwierdzeń oprogramowania, gdzie architektura zero trust, uwierzytelnianie wieloskładnikowe i SSO są wbudowane z założenia.
3. Konfiguruj menedżery pakietów open source
Publiczne repozytoria pakietów, takie jak npm, PyPI czy Maven, zawierają tysiące pakietów, z których niektóre mogą mieć luki w zabezpieczeniach, problemy z licencjonowaniem lub po prostu być niepotrzebne. Czasami mogą również dystrybuować samodzielne aplikacje (takie jak narzędzia do kodowania lub narzędzia do budowy) z ograniczonym dostępem do zabezpieczonych rejestrów.
Henrik Plate, ekspert ds. bezpieczeństwa w Endor Labs, ma proste rozwiązanie: skonfiguruj menedżery pakietów open source na maszynach deweloperskich, aby wyłącznie czerpały z prywatnych, zweryfikowanych rejestrów bibliotek, frameworków i komponentów, i chroniły przed ryzykownymi pobraniami na maszynach deweloperskich.
Chociaż zamknięte repozytoria są solidną podstawą, mogą nie być całkowicie niezawodne. Automatyczne aktualizacje mogą wprowadzać nowe luki w zabezpieczeniach, z którymi twój system nie jest przygotowany do walki. Użyj przypinania wersji, aby zablokować konkretne wersje pakietów i utrzymać zgodność środowisk deweloperskich. Połącz ten proces z ciągłym monitorowaniem i automatycznymi alertami, aby udaremnić próby pobierania zależności z publicznych repozytoriów i powiadamiać zespoły IT/bezpieczeństwa, gdy coś pójdzie nie tak.
4. Kontroluj dane, aby oprzeć się shadow IT
Dla Sotnikova nie można w pełni zarządzać shadow IT bez ciągłego procesu odkrywania danych. „Nasza zdolność do wykrywania wrażliwych danych wyciekających poza bezpieczne strefy jest bezpośrednio związana z tym, jak dobrze izolujemy sieci od dostępu shadow,” wyjaśnia.
Tutaj wkracza zapobieganie utracie danych (DLP), aby dodać pewne ograniczenia. Gdy użytkownicy próbują przesłać pliki za pomocą niezatwierdzonych aplikacji, DLP używa zdefiniowanych reguł, aby sprawdzić, czy zawartość jest wrażliwa – na podstawie typów plików, przepisów dotyczących zgodności, takich jak HIPAA, lub wzorców zawartości – i decyduje, czy ją zablokować, czy zezwolić.
Wybierz DLP, który oferuje zarówno skanowanie danych w spoczynku, jak i w tranzycie, aby móc przeszukiwać urządzenia pracowników w poszukiwaniu wrażliwych danych i zabezpieczać je lub usuwać, jeśli to konieczne. Te narzędzia pomagają również chronić dyski USB i urządzenia przenośne, szyfrując przesyłane informacje, poprawiając odporność danych i zmniejszając potencjalne ryzyko shadow IT.
Połącz to z zarządzaniem tożsamością i dostępem, a będziesz mógł ściśle kontrolować role użytkowników, zapewniając dostęp do krytycznych systemów lub danych tylko wtedy, gdy jest to potrzebne, i tylko za odpowiednią zgodą, utrzymując wszystko pod ścisłą kontrolą.
„Nie ma srebrnej kuli do eliminacji shadow IT,” przyznaje Sotnikov. „Ale silna mieszanka kontroli może pomóc prowadzić użytkowników i minimalizować szkody wynikające z nieświadomych lub przypadkowych działań.”
